tomcat安全设置

最新推荐文章于 2023-06-27 21:19:50 发布
最新推荐文章于 2023-06-27 21:19:50 发布
阅读量1k 收藏
点赞数
分类专栏: 服务器 JAVA
服务器 同时被 2 个专栏收录
286 篇文章 2 订阅
订阅专栏
JAVA
97 篇文章 1 订阅
订阅专栏

小程序部署上去后,用户反馈说存在注入入侵等风险.反省之,记录下来

最省事的办法,直接删除%tomcatRoot%/webapps下的所有文件夹,仅仅保留自己部署的工程

前提是你不需要监控程序的一些信息或则不需要使用tomcat来发布上传等一些常用动作。

扯淡完,自然说下常规的做法了。

1.删除%tomcatRoot%/webapps目录下的examples、docs文件夹

2.修改%tomcatRoot%/conf/tomcat-users.xml

<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
  <role rolename="manager"/>
  <user username="draem0507" password="draem0507" roles="manager"/>
</tomcat-users>

默认不修改的话 用户是admin 密码为空

3.修改%tomcatRoot%/conf/tomcat-users.xml

3.1将Listtings的值设置成false(6.0的版本已经默认设置成false,其他版本的请自行查看哈)

 <init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>

3.2 增加默认页面

在文件的倒数第二行开始插入下面代码

复制代码 
<error-page> 
<error-code>401</error-code> 
<location>/401.htm</location> 
</error-page> 
<error-page> 
<error-code>404</error-code> 
<location>/404.htm</location> 
</error-page> 
<error-page> 
<error-code>500</error-code> 
<location>/500.htm</location> 
</error-page>
复制代码

这里是常规设置,也可以根据需要配置更多异常信息代码,当然,文件的后缀名也可以是jsp等等

创建好这些文件后方在%tomcatRoot%/webapps/manager下

4.为tomcat目录创建权限

5.注入入侵说明

4和5 这里不做太多说明

有兴趣的朋友可以访问这里了解更多

http://www.jb51.net/article/19478.htm

 


蜗牛大侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录:tomcat,404错误,虚拟目录,listings设置,Tomcat Native library报错
guohjie的专栏
06-21 1185
===========================学习tomcat的点滴记录============================================================================= 系统重装后,配置好jdk和tomcat环境变量,把项目test1复制到重装的tomcat的webapps下,tomcat能够运行。 进http://loca
Tomcat控制台安全解决办法
iteye_10643的博客
04-22 1148
删除Tomcat默认管理控制台或管理员帐户 默认情况下,Tomcat存在管理控制台,其地址一般为http://[IP]:[Port]/admin。管理台的应用文件,在#TOMCAT_HOME#\server\webapps下,有admin和manager两个应用。其用户密码,在$tomcat\conf/tomcat-users.xml中定义。在$tomcat\webapps下的admin.xml和...
Tomcat默认界面可导致版本信息泄露+管理后台爆破
weixin_33736048的博客
05-16 6222
由于配置的Tomcat时,管理页面未进行删除或者权限角色配置,攻击者可以通过暴力猜解进入到管理后台,从而上传获取shell。 Tomcat的默认工具manager配置,在很多的生产环境中由于基本用不到、或者是不太需要使用Tomcat默认的manager管理页面时一般都会把Tomcat的默认webapp下的内容给删除了,但是如果需要使用Tomcat默认的manager来管理项目时就需要保留相应的文件...
Tomcat 部署安全性配置
ice_bird的专栏
02-17 1315
Tomcat 部署安全性配置,修改配置前做好备份记录!修改配置前做好备份记录!修改配置前做好备份记录! 开启日志记录,以便于排除错误和发生安全事件时,进行分析和定位 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_acces
Tomcat安全设置 win2003 下tomcat权限限制
09-30
Tomcat安全设置 win2003 下tomcat权限限制,需要的朋友可以参考下。
tomcat服务器安全设置方法
09-29
主要介绍了tomcat服务器安全设置方法,需要的朋友可以参考下
Tomcat服务器之安全设置
02-21
本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署,希望对大家有所帮助。环境描述OS:WindowsServer2003IP:192.168.1.12Tomcat:6.0.181、安全测试(1).登录后台在WindowsServer2003上部署Tomcat,一切保持...
tomcat安全设置学习笔记
08-16
Tomcat安全设置是保障服务器稳定运行和数据安全的关键环节。本文主要探讨了如何对Tomcat进行安全配置,特别是在Windows环境下。首先,我们强调了文件系统安全的重要性,特别是对于运行Tomcat的服务器来说,确保文件...
tomcat进程注入
最新发布
bring_coco的博客
06-27 882
可以看到agent.jar文件为了防止发现,自动清除,而且重启电脑之后,内存马不死,继续可以使用。将agent.jar和inject.jar放到tomcta的web目录下。跟随上一篇《java进程注入》这里使用memShell。那么memShell分析。
tomcat 的 web.xml 文件中的 listings 属性值
David_jiahuan的博客
08-19 5242
tomcat 的web.xml 配置文件中有一个属性值 listing (Directory Listing) ,这个属性值是控制是否展示虚拟目录; 默认配置下,改值是 false,即不对外展示文件虚拟目录(这么做是为了安全考虑); ================================================================ 如果想直接展示虚拟目录,可...
Apache Tomcat 安全性指南
allway2的博客
07-17 1496
除了更好的安全性之外,替代领域还提供更好的功能,例如线程池。无论您对Web应用程序进行多少限制,将其放置在沙箱中,限制其对资源的访问,或限制对特定用户的访问,任何重要的Web应用程序都极有可能访问某种形式的敏感数据,或者最少代表中断/拒绝服务攻击的有吸引力的目标。将Context元素的"crossContext"属性设置为"true"会使您的服务器面临损坏的应用程序向其他应用程序发送恶意请求的可能性(没有办法阻止来自其他应用程序的请求,只有这个属性可以控制是否应用程序可以创建它们)。...
tomcat的webApps和work目录
孤独是一种美
07-17 3049
tomcat作web服务器的时候,部署的程序在webApps下,这些程序都是编译后的程序(发布到tomcat的项目里含的类,会被编译成.class后才发布过来,源文件没有发布过来,但这里的jsp没有经编译的)。
如何彻底删除tomcat下面的项目
飞鹰之家
09-05 4098
有的时候我们把项目删除以后,启动tomcat却还是加载到那个项目, 这是因为我们没有删除干净 删除掉D:\tomcat5.5\conf\catalina\localhost 相应的xml文件即可
tomcat的webApps和work目录.
Golden_lion的博客
07-01 1767
1    用tomcat作web服务器的时候,部署的程序在webApps下,这些程序都是编译后的程序(发布到tomcat的项目里含的类,会被编译成.class后才发布过来,源文件没有发布过来,但这里的jsp没有经编译的)。tomcat有一个work目录,里面存放了页面的缓存,访问的jsp都会编译(从 work里进入Catalina后的如localhost站点文件夹下的项目,我们可以看到那些js
Tomcat删除自带项目操作手册
永字诀的博客
10-23 4013
1.webapps目录中的项目 在 Tomcattomcat/webapps 目录中,含有 5 个 Tomcat 自带的 Web 项目,如下所示: docs:有关于 Tomcat 的介绍和操作文档等 examples:程序示例:如 websocket 等 host-manager:进行 Host 管理 manager:进行 Server Status 和 Applications 管...
tomcat安全性检查
05-20
7. 防火墙和网络安全检查:为了保护Tomcat服务器,应该在服务器上设置防火墙,并使用其他网络安全措施,如入侵检测系统等。 综上所述,对Tomcat服务器进行安全性检查可以帮助保护Web应用程序和服务器,避免安全问题...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值